韩国个人信息保护标准指南(翻译)

个人信息保护标准指南

第一章总则

第1条目的

本指南的目的是规定《个人信息保护法》(以下简称“法”)第12条第1款关于个人信息的处理标准，侵害个人信息的类型及预防措施等具体事项。

第2条术语定义

1 “个人信息的处理”对个人信息进行收集，生成，联系，联动，记录，存储，持有，加工，编辑，检索，输出，更正，恢复，利用，提供，公开，销毁，以及除此之外的类似行为。

2 “个人信息控制者”是指出于商业目的根据法第2条第4款处理个人信息以管理个人信息文件的任何公共机构，营利组织和非营利组织，例如协会、校友会、个人等。

3 “公共机构”，是指依照法第2条第6款及《个人信息保护法执行令》(以下简称“执行令”)第2条的机构。

4 “社会团体”是以学校，地区，企业，网络社区等为单位组成的，为进行志愿服务，兴趣，政治，宗教等共同关心或目标人群之间的联谊而成立的各种同学会，同好会，乡友会，班常会及社团等。

5 “个人信息保护责任人”是指对个人信息处理人员的个人信息处理工作负责，属于执行令第32条第2款的人员。

6 “个人信息处理者”，是指在个人信息控制者的指导和监督下，负责处理个人信

息的雇员，派遣员工，兼职人员等。

7 “个人信息处理系统”是指系统地配置为处理个人信息的应用系统，例如数据库系统。

8 “影像信息处理设备”是指持续设置在特定空间内，对人或事物的影像等进行拍摄或通过有线无线网络传输的一切装置，包括执行令第3条所规定的闭路电视及网络摄像机。

9 “个人影像信息”是指根据影像信息处理设备拍摄处理的影像信息中，涉及个人肖像，行为等，能够识别该个人信息的有关影像。

10 “影像信息处理设备的经营者”是指依照法第25条第1款的规定，安装并运营影像信息处理设备的人。

11 “公共场所”，是指公园、道路、地铁、商场内部、停车场等不特定或者多数人接近或者通行不受限制的场所。

第3条适用范围

本指南适用于操作所有类型的个人信息文件（例如电子文件，印刷材料和纸质文件）的个人信息控制者。

第4条个人信息保护原则

1 个人信息控制者应明确处理个人信息的目的，并限于其目的的必要范围内，合法、正当地收集最低限度的个人信息。

2 个人信息控制者应在处理个人信息目的所必要的范围内适当地处理个人信息，不得将其用于目的之外的其他用途。

3 个人信息控制者应在个人信息处理目的必要范围内，保障个人信息的准确性、完整性和最新性。

4 个人信息控制者应根据个人信息的处理方法和种类，考虑信息主体的权利被侵犯的可能性和风险程度，安全地管理个人信息。

5 个人信息控制者应披露个人信息处理政策等个人信息处理相关事项，保障信息主体的请求查阅权等权利。

6 个人信息控制者应当采取对信息主体私生活的侵害程度降到最低的方法处理个人信息。

7 当匿名处理个人信息可能时，个人信息控制者应当尽可能以匿名方式处理个人信息。

8 个人信息控制者应遵守和实施本法律及相关法规规定的责任和义务，以努力获得信息主体的信任。

第5条与其他指南的关系

中央管理机构负责人规定了与管辖范围内的个人信息处理有关的个人信息保护指南时，必须遵守这些指南。

第二章个人信息处理标准

第一节个人信息的处理

第6条个人信息的收集和使用

1 个人信息的“收集”不仅意味着直接从信息主体接收姓名，地址和电话号码等个人信息，而且意味着获得有关信息主体所有类型的个人信息。

2 有下列各项情形之一的，个人信息处理者可以收集个人信息，也可以在收集的目的范围内利用该信息。

（1）事先征得信息主体的同意时；

（2）当法律明确规定或允许收集和使用个人信息时；

（3）当法律对个人信息控制者施加特定义务时，如果不收集和使用个人信息，则个人信息控制者不可能或非常困难地履行其职责时；

（4）公共机构在不收集和使用个人信息的情况下，不可能或非常困难地执行法律法规规定的相关任务时；

（5）在不收集，不使用个人信息的情况下，与信息主体订立合同或根据合同内容履行义务是不可能或非常困难的；

（6）信息主体或其法定代理人不能做出意思表示，或地址不明等无法获得事先同意，且被明确认为是为了信息主体或第三者紧急的生命、身体、财产利益所必要时；

（7）为实现个人信息控制者的合法利益所必要，且明显优先于信息主体的权利时。此时，仅限于与个人信息控制者的合法利益具有相当的关联性，且不超过合理范围。

3 当个人信息控制者从信息主体获得名片或类似媒体(以下称“名片”)，针对收集个人信息时提供名片等情况，只能在其同意的认可范围内使用。

4 当个人信息控制者从公共媒体或互联网主页(以下简称“网站”)等公共媒体或场所收集个人信息时，信息主体明确表示同意或根据互联网主页上显示的内容等表示同意的，只能在其同意的认可范围内使用。

5 个人信息控制者只有在作为合同另一方的信息主体通过代理人进行法律行为

或为意思表示时，才可以收集和使用代理人的个人信息，以确认代理人的代理权。

6 劳动者与用人单位签订劳动合同时，根据“劳动基准法”，未经劳动者同意，可以收集和使用个人信息，用于支付工资、教育、颁发证书和员工福利。

第7条提供个人信息

1 提供个人信息是指实物转让个人信息存储介质、包含个人信息的印刷品和小册子、通过网络传输个人信息以及对个人信息的限制；是指任何导致个人信息转让或者共同使用的行为，例如允许第三人访问、在个人信息控制者和第三人之间共享个人信息等。

2 法第17条中的“第三方”一词是指除信息主体和个人信息控制者以外的所有收集和持有信息主体个人信息的人，信息主体的代理人(仅限于该机构范围内的代理人)和法第26条第2款下的受托人除外(下文同样适用)。

第8条为其他目的使用和提供个人信息

1 个人信息控制者为法第18条第2款收集目的以外的目的向第三方提供个人信息的，应当向接收个人信息方提供使用目的、使用方式、使用期限、使用类型等，或者应当以文件(包括电子文件，下同)的形式提出请求，准备保障个人信息安全所需的具体措施。在这种情况下，收到请求方应采取相应措施，并将此事书面通知提供个人信息的个人信息控制者。

2 根据该法第18条第2款收集目的以外的目的向第三方提供个人信息的应澄清接收个人信息方与采取措施确保个人信息安全的责任之间的关系。

3 当个人信息控制者根据法第18条第3款向信息主体通知接收个人信息方时，